前言：机制Kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。APIServer是集群内部各个组件通信的中介，也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护APIServer来设计的。比如kubectl如果想向APIServer请求资源，需要过三关，第一关是认证（Authentication），第二关是鉴权（Authorization），第三关是准入控制（AdmissionControl），只有通过这三关才可能会被K8S创建资源。一、kubernetes安全机制apiserver是k8s集群的入口，默认有两个端口:本地端口8080:用于

1.使用kuberadm安装成功后，clear清除了屏幕数据，加入命令无法查看，使用如下，重新查看node如何加入主节点命令：kubeadmtokencreate--print-join-command--ttl0 2.画圈的全部是，都复制，在node节点输入命令即可如下：kubeadmjoin192.168.164.30:6443--token7w50wn.hz6i2mdtv0ivzddm--discovery-token-ca-cert-hashsha256:7e244b4696b83819e37856610e5dac54804e69118f197d6c3d13e184d1db677b  

目录一.基础环境配置（每个节点都做）1.hosts解析2.防火墙和selinux3.安装基本软件并配置时间同步4.禁用swap分区5.更改内核参数6.配置ipvs7.k8s下载（1）配置镜像下载相关软件（2）配置kubelet上的cgroup二.下载containerd(每个节点都做)1.下载基本软件2.添加软件仓库信息3.更改docker-ce.repo文件4.下载containerd并初始化配置5.更改containerd上的cgroup6.修改镜像源为阿里7.配置crictl并拉取镜像验证三.master节点初始化（只在master做）1.生成并修改配置文件2.查看/etc/contai

DeployECKinyourKubernetesclusterDeployECKinyourKubernetescluster|ElasticCloudonKubernetes[2.1]|Elastic部署ElasticStack部署ElasticStack|凤凰架构1.安装ElasticSearch1.InstallcustomresourcedefinitionsandtheoperatorwithitsRBACrules:kubectlcreate-fhttps://download.elastic.co/downloads/eck/1.9.1/crds.yamlkubectlappl

------>课程视频同步分享在今日头条和B站大家好，我是博哥爱运维，在k8s上我们如何控制访问权限呢，答案就是Role-basedaccesscontrol(RBAC)-基于角色（Role）的访问控制，（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。在早期的K8s版本，RBAC还未出现的时候，整个K8s的安全是较为薄弱的，有了RBAC后，我们可以对K8s集群的访问人员作非常明细化的控制，控制他们能访问什么资源，以只读还是可以读写的形式来访问，目前RBAC是K8s默认的安全授权标准，所以我们非常有必要来掌握RBAC的使用，这样才有更有力的保障我们的K8s集群的安

简单介绍kind 即KubernetesInDocker，顾名思义，就是将k8s所需要的所有组件，全部部署在一个docker容器中，是一套开箱即用的k8s环境搭建方案。使用kind搭建的集群无法在生产中使用，但是如果你只是想在本地简单的玩玩k8s，不想占用太多的资源，那么使用kind是你不错的选择。同样，kind还可以很方便的帮你本地的k8s源代码打成对应的镜像，方便测试。使用kind在一台centos上简单尝试一下kind，前提是必须要安装好docker和kubectl。wgethttps://github.com/kubernetes-sigs/kind/releases/download

K8S集群中Node节点资源不足导致Pod无法运行的故障排查思路Node节点资源不足可能会产生的故障故障一：Pod数量太多超出物理节点的限制每一台Node节点中默认限制最多运行110个Pod资源，当一个应用程序有成百上千的Pod资源时，如果不扩容Node节点或者修改最大Pod数量限制，那么就会导致部分Pod资源无法正常运行，因为节点已经没有资源可以被调度了。解决思路就是扩容Node节点数量或者修改Pod的数量限制故障二：Pod配置的资源限额超出物理节点的最大使用率由于Node节点资源有限，当Pod设置的资源配额超出了Node节点所承受的极限，那么Pod将无法部署和运行，会报错没有合适的Node

什么是OOMKilledKubernetes错误（ExitCode137）当Kubernetes集群中的容器超过其内存限制时，Kubernetes系统可能会终止该容器并显示“OOMKilled”错误，这表明该进程由于内存不足而被终止。此错误的退出代码是137。如果遇到错误，Pod的状态将显示“OOMKilled”，您可以使用以下命令查看该错误：kubectlgetpodsOOMKiller机制如何工作？Out-Of-MemoryKiller(OOMKiller)是Linux内核（不是本机Kubernetes）中的一种机制，负责通过杀死消耗过多内存的进程来防止系统内存不足。当系统内存不足时，内核

Background作为一款开源的企业级Kubernetes管理平台，Rancher进入中国已经5年了，在国内使用会有从Github上下载资源慢、拉镜像十分耗时、无法使用library和system-library等问题。通过配置也是可以解决的，即使用阿里云镜像仓库搭建Rancher。记录整个流程。1、前置条件虚拟机准备我这里准备了四台虚拟机来测试，具体部署配置信息如下表所示：主机名角色k8s-rancher管理k8s集群k8s-masterk8s集群master节点,etcd节点k8s-node1k8s集群work节点,etcd节点k8s-node2k8s集群work节点,etcd节点安装好

K8S彻底卸载教程注：这里针对的是使用Kubeadm方式安装的Kubernetes集群零、节点及权限以下全部操作都是使用root用户进行（非root用户可以使用sudo），并且全部命令都需要在Kubernetes集群的所有节点分别执行：第一步、停止K8S所有节点执行：systemctlstopkubeletsystemctlstopetcdsystemctlstopdocker第二步、清空K8S集群设置所有节点执行：kubeadmreset-f第三步、删除K8S相关软件所有节点执行：#罗列kube关键字的软件yumlistinstalled|grepkube#卸载相关软件yum-yremove